最新服務(wù)器操作系統(tǒng)Windows Server 2008已經(jīng)發(fā)布，在這款微軟所宣稱(chēng)的“史上安全性最強(qiáng)”的服務(wù)器操作系統(tǒng)中，新增了很多安全方面的設(shè)計(jì)和功能，其中它的防火墻也有了重大的改進(jìn)，不過(guò)對(duì)于服務(wù)器操作系統(tǒng)來(lái)說(shuō)，系統(tǒng)自帶的普通防火墻顯然功能過(guò)于簡(jiǎn)陋，我們今天介紹的是它的高級(jí)安全Windows防火墻，這是一款讓W(xué)indows Server 2008的安全性大幅提高的一個(gè)利器。

了解高級(jí)安全Windows防火墻

在“深層防御”體系中，網(wǎng)絡(luò)防火墻處于周邊層，而Windows防火墻處于主機(jī)層面。和Windows XP和Windows 2003的防火墻一樣，Windows Server 2008的防火墻也是一款基于主機(jī)的狀態(tài)防火墻，它結(jié)合了主機(jī)防火墻和IPSec，可以對(duì)穿過(guò)網(wǎng)絡(luò)邊界防火墻和發(fā)自企業(yè)內(nèi)部的網(wǎng)絡(luò)攻擊進(jìn)行防護(hù)，可以說(shuō)基于主機(jī)的防火墻是網(wǎng)絡(luò)邊界防火墻的一個(gè)有益的補(bǔ)充。

與以前Windows版本中的防火墻相比，Windows Server 2008中的高級(jí)安全防火墻(WFAS)有了較大的改進(jìn)，首先它支持雙向保護(hù)，可以對(duì)出站、入站通信進(jìn)行過(guò)濾。

其次它將Windows防火墻功能和Internet 協(xié)議安全(IPSec)集成到一個(gè)控制臺(tái)中。使用這些高級(jí)選項(xiàng)可以按照環(huán)境所需的方式配置密鑰交換、數(shù)據(jù)保護(hù)(完整性和加密)以及身份驗(yàn)證設(shè)置。

而且WFAS還可以實(shí)現(xiàn)更高級(jí)的規(guī)則配置，你可以針對(duì)Windows Server上的各種對(duì)象創(chuàng)建防火墻規(guī)則，配置防火墻規(guī)則以確定阻止還是允許流量通過(guò)具有高級(jí)安全性的Windows防火墻。

傳入數(shù)據(jù)包到達(dá)計(jì)算機(jī)時(shí)，具有高級(jí)安全性的Windows防火墻檢查該數(shù)據(jù)包，并確定它是否符合防火墻規(guī)則中指定的標(biāo)準(zhǔn)。如果數(shù)據(jù)包與規(guī)則中的標(biāo)準(zhǔn)匹配，則具有高級(jí)安全性的Windows防火墻執(zhí)行規(guī)則中指定的操作，即阻止連接或允許連接。如果數(shù)據(jù)包與規(guī)則中的標(biāo)準(zhǔn)不匹配，則具有高級(jí)安全性的Windows防火墻丟棄該數(shù)據(jù)包，并在防火墻日志文件中創(chuàng)建條目(如果啟用了日志記錄)。

對(duì)規(guī)則進(jìn)行配置時(shí)，可以從各種標(biāo)準(zhǔn)中進(jìn)行選擇：例如應(yīng)用程序名稱(chēng)、系統(tǒng)服務(wù)名稱(chēng)、TCP端口、UDP端口、本地IP地址、遠(yuǎn)程IP地址、配置文件、接口類(lèi)型(如網(wǎng)絡(luò)適配器)、用戶、用戶組、計(jì)算機(jī)、計(jì)算機(jī)組、協(xié)議、ICMP類(lèi)型等。規(guī)則中的標(biāo)準(zhǔn)添加在一起;添加的標(biāo)準(zhǔn)越多，具有高級(jí)安全性的Windows防火墻匹配傳入流量就越精細(xì)。

我們可以通過(guò)多種方式來(lái)配置Windows Server 2008防火墻和IPSec的設(shè)置和選項(xiàng)，下面讓我們具體看一下如何來(lái)配置Window Server 2008的這款高級(jí)防火墻。

使用高級(jí)安全Windows防火墻管理單元管理防火墻

這種方式可以讓你在一個(gè)界面中同時(shí)配置防火墻設(shè)置和IPSec設(shè)置，還可以在監(jiān)視節(jié)點(diǎn)中查看當(dāng)前應(yīng)用的策略、規(guī)則和其它信息。

從啟動(dòng)菜單的管理工具中找到高級(jí)安全Windows防火墻，點(diǎn)擊打開(kāi)MMC管理單元。

從以上界面中我們可以看到，Windows 2008的高級(jí)安全Windows防火墻使用出站和入站兩組規(guī)則來(lái)配置其如何響應(yīng)傳入和傳出的流量;通過(guò)連接安全規(guī)則來(lái)確定如何保護(hù)計(jì)算機(jī)和其它計(jì)算機(jī)之間的流量。而且可以監(jiān)視防火墻活動(dòng)和規(guī)則。

下面我們來(lái)通過(guò)實(shí)際例子查看一下如何配置這幾個(gè)規(guī)則。

首先從入站規(guī)則開(kāi)始，假如我們?cè)赪indows Server 2008上安裝了一個(gè)Apache Web服務(wù)器，默認(rèn)情況下，從遠(yuǎn)端是無(wú)法訪問(wèn)這個(gè)服務(wù)器的，因?yàn)樵谌胝疽?guī)則中沒(méi)有配置來(lái)確認(rèn)對(duì)這些流量“放行”，下面我們就為它增加一條規(guī)則。

打開(kāi)高級(jí)安全Windows防火墻，點(diǎn)擊入站規(guī)則后從右邊的入站規(guī)則列表中我們可以看到Windows Server 2008自帶的一些安全規(guī)則，因?yàn)锳pache是一款第三方應(yīng)用軟件，所以我們需要通過(guò)右邊操作區(qū)的【新規(guī)則】來(lái)新建一條。

在這兒可以看到，我們可以基于具體的程序、端口、預(yù)定義或自定義來(lái)創(chuàng)建入站規(guī)則，其中每個(gè)類(lèi)型的步驟會(huì)有細(xì)微的差別。在我們這個(gè)例子中，我們選擇【程序】類(lèi)型，點(diǎn)擊下一步接下來(lái)選擇具體的程序路徑。

第三步指定對(duì)符合條件的流量進(jìn)行什么操作，我們這兒當(dāng)然是允許連接了，接下來(lái)選擇應(yīng)用規(guī)則的配置文件和為規(guī)則指定名稱(chēng)后，這條規(guī)則就創(chuàng)建完了，從入站規(guī)則列表中可以看到你創(chuàng)建的規(guī)則了。現(xiàn)在就可以正常從遠(yuǎn)程訪問(wèn)你的Apache服務(wù)器了，如果要對(duì)這個(gè)已經(jīng)創(chuàng)建的規(guī)則進(jìn)行修改等操作，可以在選中規(guī)則后，從右邊的操作區(qū)域進(jìn)行操作。

點(diǎn)擊【屬性】按鈕，會(huì)彈出下圖窗口，在這兒可以對(duì)規(guī)則進(jìn)行更詳細(xì)的修改，我們看到一條規(guī)則的可定制化屬性比以前版本的規(guī)則屬性要多很多。出站規(guī)則的配置與入站規(guī)則完全相同，筆者不再重復(fù)，下面我們來(lái)看一下連接安全規(guī)則。

連接安全包括在兩臺(tái)計(jì)算機(jī)開(kāi)始通信之前對(duì)它們進(jìn)行身份驗(yàn)證，并確保在兩臺(tái)計(jì)算機(jī)之間正在發(fā)送的信息的安全性。具有高級(jí)安全性的 Windows 防火墻包含了 Internet 協(xié)議安全 (IPSec) 技術(shù)，通過(guò)使用密鑰交換、身份驗(yàn)證、數(shù)據(jù)完整性和數(shù)據(jù)加密(可選)來(lái)實(shí)現(xiàn)連接安全。

對(duì)于單個(gè)服務(wù)器來(lái)說(shuō)，可以使用高級(jí)安全Windows防火墻管理控制單元來(lái)對(duì)防火墻進(jìn)行設(shè)置，如果在你的企業(yè)網(wǎng)絡(luò)中有大量計(jì)算機(jī)需要設(shè)置，這種方法就不再適合，應(yīng)該找一種更高效的方法。

使用組策略來(lái)管理高級(jí)安全Windows防火墻

在一個(gè)使用活動(dòng)目錄(AD)的企業(yè)網(wǎng)絡(luò)中，為了實(shí)現(xiàn)對(duì)大量計(jì)算機(jī)的集中管理，你可以使用組策略來(lái)應(yīng)用高級(jí)安全Windows防火墻的配置。組策略提供了高級(jí)安全Windows防火墻的完全功能的訪問(wèn)，包括配置文件、防火墻規(guī)則和計(jì)算機(jī)安全連接規(guī)則。

實(shí)際上，在組策略管理控制臺(tái)中為高級(jí)安全Windows防火墻配置組策略的時(shí)候是打開(kāi)的同一個(gè)控制單元。值得注意的是，如果你使用組策略來(lái)在一個(gè)企業(yè)網(wǎng)絡(luò)中配置高級(jí)安全Windows防火墻的話，本地系統(tǒng)管理員是無(wú)法修改這個(gè)規(guī)則的屬性的。通過(guò)創(chuàng)建組策略對(duì)象，可以配置一個(gè)域中所有計(jì)算機(jī)使用相同的防火墻設(shè)置。這一部分內(nèi)容比較復(fù)雜。

使用Netsh advfirewall命令行工具，雖然圖形化配置界面比較簡(jiǎn)單直觀，但是對(duì)于一些有經(jīng)驗(yàn)的系統(tǒng)管理員來(lái)說(shuō)，則往往更喜歡使用命令行方式來(lái)完成它們的配置工作，因?yàn)楹笳咭坏┦炀氄莆盏脑挘梢愿`活更準(zhǔn)確更迅速的實(shí)現(xiàn)配置任務(wù)。

Netsh是可以用于配置網(wǎng)絡(luò)組件設(shè)置的命令行工具。具有高級(jí)安全性的Windows防火墻提供netsh advfirewall工具，可以使用它配置具有高級(jí)安全性的Windows防火墻設(shè)置。使用netsh advfirewall可以創(chuàng)建腳本，以便自動(dòng)同時(shí)為IPv4和IPv6流量配置一組具有高級(jí)安全性的Windows 防火墻設(shè)置。還可以使用netsh advfirewall命令顯示具有高級(jí)安全性的Windows防火墻的配置和狀態(tài)。

Netsh advfirewall的命令非常多，今天我們選擇你必須掌握的幾個(gè)最常見(jiàn)的命令介紹給大家。

1、help命令(或“?”)

這個(gè)命令雖然簡(jiǎn)單，但這卻可能是最有用的命令。任何時(shí)候當(dāng)你鍵入“?”命令的時(shí)候，你會(huì)看到和上下文相關(guān)的所有選項(xiàng)。

2、consec(連接安全規(guī)則)命令

這個(gè)連接規(guī)則可以讓你創(chuàng)建兩個(gè)系統(tǒng)之間的IPSEC VPN。換句話說(shuō)，consec規(guī)則能夠讓你加強(qiáng)通過(guò)防火墻的通信的安全性，而不僅僅是限制或過(guò)濾它。

這個(gè)命令會(huì)將你帶入到連接安全配置模式，如下所示：

Netsh advfirewall>consec

Netsh advfirewall consec>

現(xiàn)在如果你鍵入“?”命令的話，你將會(huì)在netsh advfirewall consec中看到六個(gè)不同的命令。

從這兒你可以看到你可以通過(guò)以下命令來(lái)修改安全規(guī)則：

此上下文中的命令:

add命令可以讓你添加新連接安全規(guī)則;

delete命令讓你刪除所有匹配的連接安全規(guī)則;

dump命令顯示一個(gè)配置腳本;

help可以顯示命令列表。

set命令讓你為現(xiàn)有規(guī)則的屬性設(shè)置新值。

show命令

要想查看防火墻現(xiàn)在的狀況，你將必須使用這個(gè)show命令，再其下提供三個(gè)不同的命令可用。

Show alias為你列出所有定義的別名;

show helper列出所有頂層幫助者;

Show mode命令可以鋼珠你顯示防火墻是在線還是離線。

3、Export命令

這個(gè)命令可以讓你導(dǎo)出防火墻當(dāng)前的所有配置到一個(gè)文件中。這個(gè)命令非常有用，因?yàn)槟憧梢詡浞菟械呐渲玫轿募校绻銓?duì)已經(jīng)作出的配置不滿意的話，可以隨時(shí)使用這個(gè)文件來(lái)恢復(fù)到修改前的狀態(tài)。

以下是一個(gè)應(yīng)用示例：

netsh advfirewall export “c:/advfirewall.wfw”

4、Firewall命令

使用這個(gè)命令你可以增加新的入站和出站規(guī)則到你的防火墻中。它還可以讓你修改防火墻中的規(guī)則。

在firewall上下文命令中，你會(huì)看到四個(gè)重要的命令，分別是：

Add命令讓你增加入站和出站規(guī)則;

Delete命令讓你刪除一條規(guī)則;

Set命令為現(xiàn)有規(guī)則的屬性設(shè)置新值;

Show命令將顯示一個(gè)指定的防火墻規(guī)則。

以下是增加和刪除一個(gè)防火墻規(guī)則的示例：

增加一個(gè)針對(duì)messenger.exe的入站規(guī)則

netsh advfirewall firewall add rule name='allow messenger' dir=in program='c:/programfiles/messenger/msmsgs.exe” action=allow

刪除針對(duì)本地21端口的所有入站規(guī)則：

netsh advfirewall firewall delete name rule name=all protocol=tcp localport=21

5、Import命令

Import命令讓你可以從一個(gè)文件中導(dǎo)入防火墻的配置。這個(gè)命令可以讓你把之前你使用export命令導(dǎo)出的防火墻配置再恢復(fù)回去。示例如下：

Netsh advfirewall import “c:/advfirewall.wfw”

6、Reset

這個(gè)命令讓你重新設(shè)置防火墻策略到默認(rèn)策略狀態(tài)。使用這個(gè)命令的時(shí)候務(wù)必謹(jǐn)慎，因?yàn)橐坏┠沔I入這個(gè)命令并按下回車(chē)后，它將不再讓你確認(rèn)是否真要重設(shè)，直接恢復(fù)防火墻的策略。

示例命令如下：

Netsh advfirewall reset

7、Set命令

set命令將允許你修改防火墻的不同設(shè)置狀態(tài)。相關(guān)的上下文命令有六個(gè)。

set allprofiles讓你修改所有配置文件中的屬性。

set currentprofile 讓你只修改活動(dòng)配置文件中的屬性。

set domainprofile讓你修改域配置文件中的屬性。

set global讓你修改防火墻的全局屬性。

set privateprofile讓你修改專(zhuān)用配置文件中的屬性。

set publicprofile讓你修改公用配置文件中的屬性。

set store讓你為當(dāng)前交互式會(huì)話設(shè)置策略存儲(chǔ)。

以下是使用set命令的一些例子：

讓防火墻關(guān)閉所有配置文件：

netsh advfirewall set allprofiles state off

在所有配置文件中設(shè)置默認(rèn)阻擋入站并允許出站通信：

netsh advfirewall set allprofiles firewallpolicy blockinbound,allowoutbound

在所有配置文件中打開(kāi)遠(yuǎn)程管理：

netsh advfirewall set allprofiles settings remotemanagement enable

在所有配置文件中記錄被斷開(kāi)的連接：

netsh advfirewall set allprofiles logging droppedconnections enable

8、Show命令

這個(gè)show命令將讓你可以查看所有不同的配置文件中的設(shè)置和全局屬性。